Múltiples vulnerabilidades en varios productos de Mitsubishi Electric
Fecha de publicación
01/07/2020
Importancia
4 - Alta
Recursos Afectados
Las siguientes versiones de los productos de software de ingeniería de Factory Automation se ven afectadas:
- CPU Module Logging Configuration Tool, versiones 1.94Y y anteriores;
- CW Configurator, versiones 1.010L y anteriores;
- EM Software Development Kit (EM Configurator), versiones 1.010L y anteriores;
- GT Designer3(GOT2000), versiones 1.221F y anteriores;
- GX LogViewer, versiones 1.96A y anteriores;
- GX Works2, versiones 1.586L y anteriores;
- GX Works3, versiones 1.058L y anteriores;
- M_CommDTM-HART, versión 1.00A;
- M_CommDTM-IO-Link, versiones 1.02C y anteriores;
- MELFA-Works, versiones 4.3 y anteriores;
- MELSEC-L Flexible High-Speed I/O Control Module Configuration Tool, versiones 1.004E y anteriores;
- MELSOFT FieldDeviceConfigurator, versiones 1.03D y anteriores;
- MELSOFT iQ AppPortal, versiones 1.11M y anteriores;
- MELSOFT Navigator, versiones 2.58L y anteriores;
- MI Configurator, versiones 1.003D y anteriores;
- Motion Control Setting, versiones 1.005F y anteriores;
- MR Configurator2, versiones 1.72A y anteriores;
- MT Works2, versiones 1.156N y anteriores;
- RT ToolBox2, versiones 3.72A y anteriores;
- RT ToolBox3, versiones 1.50C y anteriores.
Descripción
Mitsubishi Electric PSIRT (Product Security Incident Response Team) reportó a CISA 2 vulnerabilidades, una de criticidad alta y otra media, de tipo restricción incorrecta de referencia a entidad externa XML (XXE) y consumo de recursos incontrolado, que afectan a varios productos de Factory Automation.
Solución
Mitsubishi Electric recomienda que los usuarios afectados descarguen la última versión de cada producto de software del centro de descargas de Mitsubishi Electric y lo actualicen.
Detalle
- La vulnerabilidad podría permitir que un atacante malintencionado envíe un archivo al exterior en el equipo que ejecuta el producto afectado. Se ha asignado el identificador CVE-2020-5602 para esta vulnerabilidad.
- La vulnerabilidad podría permitir que un atacante malintencionado genere una condición de denegación de servicio (DoS) en el producto afectado. Se ha asignado el identificador CVE-2020-5603 para esta vulnerabilidad.
Listado de referencias
Etiquetas